病毒分析系列 _ 病毒分析环境搭建
前言
通常进行病毒分析,需要有一个配置好的病毒分析环境,fireeye之前也出过配置好的虚拟机,但是虚拟机安装过程很慢,不如我们自己配置一个,下边对虚拟机的配置和病毒分析的基本原则进行展开说明,打好病毒分析的第一步。
虚拟机环境配置
以vmware为例,对虚拟机相关操作进行说明
系统准备
在虚拟机中下载和安装操作系统如下,虚拟机安装系统过程跟普通安装一样,但需要保证磁盘的大小足够,保证后续做快照时避免出现磁盘不足的情况:
win7系统 sp1及以上
win10 系统
基本设置
1.不要把U盘连上虚拟机,或者设置一下虚拟机防止自动连接U盘;
2.虚拟化Intel VT-x/EPT或AMD-V/RVI 勾选(设置-处理器)
3.文件选项->显示扩展名和隐藏文件;查看->详细信息:为的是直接看出文件的后缀等其他信息,防止文件伪造和欺骗。
4.网络要求host-only 或者断网
虚拟机基本操作步骤
在进行恶意软件分析前,分析工具安装好后,创建快照,目的是在往后可以恢复感染前的状态;快照
创建快照过程如下:
右键拍摄快照:
拍摄快照并填写快照描述,如下图示例:
2.每次需要安装新工具时,就先恢复一次快照,之后安装工具,再重新创个快照(PS:根据需要,可以再将中间多余的快照去除)
3.快照可以回滚到基础快照再拍快照,这样可以有分支:当一个分析没有结束时可以分析另一个
4.样本只能通过哈希值查询,不允许将样本进行上传。如使用pebear打开病毒,可以看到哈希值:
工具安装
病毒分析少不了好用的工具,在这推荐一些 好用的各类型的分析工具
PE相关工具
查看程序PE的信息,对程序是否加壳等信息有初步的了解
ExeinfoPe
LordPE
PE-bear
pestudio
动态调试工具
病毒分析时有不明白的细节时,使用动态调试,逐步理解程序执行流程;或者,病毒常将数据进行加密,在解密后执行shellcode,此时使用动态调试可以直接获取解密后的shellcode。
x64dgb:分析PE文件的利器,开源项目,有良好的社区环境
dnSpy:.net语言 反编译工具
WinDbg:包含在Windows 调试工具中的内核模式和用户模式调试器
吾爱破解专用版Ollydbg:OD,老牌调试器了,最近出了64位的
静态分析工具
病毒分析时需要反编译源文件并查看功能函数的实现和程序逻辑流程,此时需要用到静态分析工具。
ida pro:静态反编译神器
Binary Ninja:同上
Jeb Decompiler:安卓反编译器
jd-gui:同上
行为分析工具
病毒执行时有一系列的操作:包括注册表、创建文件、通信等,行为分析工具可以捕获这些行为信息,帮助我们了解病毒行为。
ProcessExplorer
ProcessMonitor
火绒剑
SysTracer
十六进制编辑器
010Editor
网络相关工具
inetsim :Linux环境下的工具,用于模拟病毒通信
wireshark :抓取流量包,获取病毒通信
其他软件
CyberChef:用于加密、编码、压缩和数据分析的程序
Sublime Text 3:文本编辑器,有病毒分析相关插件
壳器
XVolkolak:能够解开大部分的壳,脱壳方便
注:在安装好这些工具后要做基础快照。
总结
本文主要介绍了病毒分析的基本环境搭建,其中做快照的步骤和设置比较重要,给读者提供一个做快照的思路。
在后续文章中会对逐个工具进行病毒分析的实操讲解。
声明
本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与SpaceSec安全团队及作者无关!
文章中部分学习内容来自于网络,回馈予网络,如涉及版权问题,请联系删除。
SpaceSec 保留对文章绝对的解释权,转载与传播时须保证文章的完整性,同时标明出处。未经允许,禁止转载或用于商业用途。
加小编,进内部技术交流群,还有不定期福利,微:SpaceSec_S
病毒分析系列 _ 病毒分析环境搭建相关推荐
- python3.6 django教程_【Python3.6+Django2.0+Xadmin2.0系列教程一】环境搭建及项目创建
由于工作需要,接触了大半年时间的Django+xadmin框架,一直没空对这块对进行相关的梳理.最近在同事的怂恿下,就在这分享下笔者的学习及工作经验吧. 好了,话不多说,下面开始进入正题: 环境需求: ...
- 【先楫HPM6750系列】RT-Thread开发环境搭建和Hello World
[先楫HPM6750系列]RT-Thread开发环境搭建和Hello World 本篇介绍HPM6750开发板的RT-Thread Studio开发环境搭建,以及在RT-Thread Studio环境 ...
- [循证理论与实践] meta分析系列之一: meta分析的类型
证据是循证医学( Evidence-based medcine,EBM) 的核心,基于随机对照试验( RCT) 的系统评价/meta分析是当前 公认的最高级别证据. meta分析在医学领域应用最为广泛 ...
- 病毒分析快速入门01--分析环境搭建
小C无聊的躺在床上,刷着#开学#话题微博. 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了. 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题 ...
- 物联网设备固件分析:Firmadyne固件模拟环境搭建
0x01 前言 本文介绍了在对固件进行分析的环境准备部分,主要是对Firmadyne这个工具的环境搭建,最后搭建完用Netgear的路由器固件进行测试. 更新:直接看评论,用配好的docker镜像: ...
- eos源码分析和应用(一)调试环境搭建
转载自 http://www.limerence2017.com/2018/09/02/eos1/#more eos基于区块链技术实现的开源引擎,开发人员可以基于该引擎开发DAPP(分布式应用).下面 ...
- 电路分析导论_生存分析导论
电路分析导论 In our extremely competitive times, all businesses face the problem of customer churn/retenti ...
- rda冗余分析步骤_群落分析的典范对应分析(CCA)概述
典范对应分析(CCA)与去趋势典范对应分析(DCCA)概述典范对应分析(canonical correspondence analysis,CCA)是单峰约束排序方法,是对应分析(CA)与多元回归的结 ...
- 台式机Ubuntu系统安装Tesla系列显卡+深度学习环境搭建
1.前言 Tesla系列的显卡主要是作为计算显卡来使用的,常用在服务器.工作站等设备上,并不适用于普通台式机主板上.与常用的Nvidia显卡系列相比,其内部的电源供电结构.散热功能都是不一样的.因此要 ...
最新文章
- Linux内核开发之将驱动程序添加到内核
- php5.5参数配置优化,5个PHP性能优化的编程习惯
- 26 款阿里超神 Java 开源项目,看看你用过几个?
- linux登录密码破解
- 【i.MX6UL/i.MX6ULL开发常见问题】单独编译内核,uboot生成很多文件,具体用哪一个?...
- IDEA配置Struts框架
- svn 合并问题 MERGE of '/svn/web': 200 OK (http://xx.xx.xx.xx)
- 传说中的神器: shared_ptr/weak_ptr/scoped_ptr
- django 不包括字段 序列化器_DRF比Django的认证和权限高在哪里
- Weex组件库-Dialog
- 敏捷开发宣言 (一)
- MSP430F149--点亮LED灯程序代码
- 电话号码归属地批量查询软件选择需谨慎
- Android很好看的登陆界面(包含详细代码)
- php 设置数字键盘,window_win10启动时如何设置默认打开小键盘数字输入切换键?,win10作为微软的一次重大变革 - phpStudy...
- Method breakpoint reached日志问题
- 自制导航App(包含地图、定位、自定义marker、路线制定、模拟导航等功能)
- 2021年施工员-设备方向-通用基础(施工员)试题及解析及施工员-设备方向-通用基础(施工员)模拟试题
- Docker删除Exited镜像
- c语言饭卡管理系统_C语言饭卡管理系统(附代码).doc
热门文章
- 【linux】-find、rm、kill等常用命令
- macOS系统运行jmeter时去除恼人的shell黑框
- 硬件加密框架ocf cryptodev-linux介绍
- Redis数据库在分布式缓存中的应用研究
- 国内主流CMS、SNS、商城等建站系统汇总
- 特征学习笔记Chapter1-Chapter4
- PADS简介及使用流程
- 小型、低成本、低功耗的一次性收音机。第1部分:发射机
- 为什么计算机网络使用数字信号,计算机网络数字数据在数字信道传输时为什么要进行..._网络编辑_帮考网...
- 第9篇-Excel表格存储迪迦奥特曼评论